Last updated at Tue, 28 May 2024 21:20:45 GMT
由Rapid7分析师Tyler McGraw, Thomas Elkins和Evan McCann共同撰写
执行概要
Rapid7已经确定了一个正在进行的社会工程活动,该活动一直针对多个管理检测和响应(耐多药)客户. 该事件涉及威胁行为者用垃圾邮件淹没用户的电子邮件并打电话给用户, 提供帮助. 攻击者会提示受影响的用户下载远程监控和管理软件,比如AnyDesk,或者利用微软内置的Quick Assist功能来建立远程连接. Once a remote connection has been established, 威胁参与者开始从其基础设施下载有效载荷,以便获取受影响的用户凭据并维护受影响用户资产的持久性.
在一次事件中, Rapid7观察到威胁行为者将Cobalt Strike信标部署到受损网络中的其他资产上. 虽然在任何情况下,Rapid7都没有发现勒索软件的部署, 根据OSINT和Rapid7处理的其他事件响应业务,我们观察到的泄露指标之前与Black Basta勒索软件运营商有关.
概述
自2024年4月下旬以来,Rapid7发现了多个新型社会工程活动的案例. 攻击开始时,目标环境中的一组用户会收到大量垃圾邮件. 在所有观察到的案例中, 垃圾邮件严重到足以压倒现有的电子邮件保护解决方案,并到达用户的收件箱. Rapid7确定许多电子邮件本身并不是恶意的, 而是由来自世界各地众多合法组织的时事通讯注册确认电子邮件组成.
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.41.35-PM.png)
随着邮件的发送, 受影响的用户难以处理大量的垃圾邮件, 然后,威胁行为者开始循环打电话给受影响的用户,假装成他们组织的IT团队成员,向他们提供电子邮件问题的支持. For each user they called, 威胁行为者试图通过使用合法的远程监控和管理解决方案,对用户进行社会工程,以提供对其计算机的远程访问. 在所有观察到的案例中, Rapid7确定,通过下载和执行经常被滥用的RMM解决方案AnyDesk,可以促进初始访问, or the built-in Windows remote support utility Quick Assist.
如果威胁参与者的社会工程尝试未能成功地让用户提供远程访问, Rapid7观察到,他们立即转向了另一个被他们的大量垃圾邮件盯上的用户.
一旦威胁行为者成功获得对用户计算机的访问权限, they begin executing a series of batch scripts, presented to the user as updates, 很可能是为了显得更合法,避免被怀疑. 威胁参与者执行的第一个批处理脚本通常会验证其与命令和控制(C2)服务器的连接,然后下载包含OpenSSH for Windows(最终重命名为***RuntimeBroker)的合法副本的邮政编码归档文件.exe * * *), along with its dependencies, 几个RSA密钥, 和 other Secure Shell (SSH) configuration files. SSH是一种用于通过互联网安全地向远程计算机发送命令的协议. 而在许多批处理脚本中都有硬编码的C2服务器, 有些是这样写的,因此可以在命令行上指定C2服务器和侦听端口作为覆盖.
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.42.56-PM.png)
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.43.27-PM.png)
然后是脚本 establishes persistence via run key entries in the Windows registry. 批处理脚本创建的运行键指向在运行时创建的其他批处理脚本. 运行密钥指向的每个批处理脚本在无限循环中通过PowerShell执行SSH,以尝试使用下载的RSA私钥建立到指定C2服务器的反向shell连接. Rapid7观察到威胁参与者使用的批处理脚本的几种不同变体, 其中一些还使用其他远程监控和管理解决方案有条件地建立持久性, including Net支持 和 ScreenConnect.
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.44.26-PM.png)
在所有观察到的案例中, Rapid7已经确定使用批处理脚本从命令行使用PowerShell获取受害者的凭据. 凭据是在要求用户登录的“更新”的错误上下文中收集的. In most of the observed batch script variations, 凭据立即通过安全复制命令(SCP)泄露到威胁参与者的服务器。. In at least one other observed script variant, 凭据保存到存档中,必须手动检索.
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.45.09-PM.png)
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.45.36-PM.png)
在一个观察到的案例中, once the initial compromise was completed, 然后,攻击者试图使用Impacket通过SMB在整个环境中横向移动, 尽管多次尝试,但最终未能部署“钴罢工”. 虽然在我们的调查中,Rapid7没有发现成功的数据泄露或勒索软件部署, Rapid7通过取证分析发现的入侵指标与基于内部和开源情报的Black Basta勒索软件组织一致.
法医分析
在一次事件中, Rapid7观察到威胁行为者试图部署额外的远程监控和管理工具,包括ScreenConnect和Net支持远程访问木马(RAT)。. Rapid7 acquired the Client32.ini文件, which holds the configuration data for the Net支持 RAT, including domains for the connection. Rapid7观察到Net支持 RAT试图与以下域通信:
- rewilivak13 [.] com
- greekpool [.] com
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.51.02-PM.png)
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.51.52-PM.png)
After successfully gaining access to the compromised asset, Rapid7观察到威胁行为者试图部署钴打击信标, disguised as a legitimate Dynamic Link Library (DLL) named 7z.DLL, 使用Impacket工具集发送到与受损资产相同网络中的其他资产.
在我们对 7z.DLL, Rapid7观察到DLL被修改为包含一个函数,其目的是使用硬编码密钥对Cobalt Strike信标进行异或解密,然后执行信标.
威胁行为者将试图通过执行合法的二进制7zG来部署Cobalt Strike信标.exe 和 passing a comm和 line argument of `b`, i.e. “C: \ \公共\ 7 zg用户.exe b”. By doing so, the legitimate binary 7zG.exe侧面负载 7z.DLL, which in turn executes the embedded Cobalt Strike beacon. This technique is known as DLL侧载, a method Rapid7 previously discussed in a blog post on the IDAT装载机.
在成功执行后,Rapid7观察到信标注入了一个新创建的进程, 选择.exe.
![](http://blog.yazhuo.net/content/images/2024/05/Screenshot-2024-05-10-at-12.53.30-PM.png)
缓解措施
Rapid7建议为所有已安装的远程监控和管理解决方案设定环境基线,并利用应用程序允许列表解决方案, 例如AppLocker或Microsoft Defender Application Control, 阻止所有未经批准的RMM解决方案在环境中执行. For example, the Quick Assist tool, quickassist.Exe,可以是 blocked from execution via AppLocker. As an additional precaution, Rapid7建议封锁与所有未经批准的RMM解决方案相关联的域. A public GitHub repo containing a catalog of RMM solutions, 它们的二进制名称, 和 associated domains can be found 在这里.
Rapid7建议确保用户了解已建立的IT渠道和通信方法,以识别和防止常见的社会工程攻击. 我们还建议确保用户有权报告自称来自内部IT人员的可疑电话和短信.
斜接丙氨酸&CK技术
策略 | 技术 | 过程 |
---|---|---|
拒绝服务 | T1498: Network 拒绝服务 | 威胁行为者用垃圾邮件淹没了电子邮件保护解决方案. |
首次访问 | T1566.004: Phishing: Spearphishing Voice | 威胁参与者呼叫受影响的用户,并假装是其组织的IT团队成员,以获得远程访问权限. |
执行 | T1059.003: Comm和 和 Scripting Interpreter: Windows Comm和 Shell | 威胁参与者在建立对用户资产的远程访问后执行批处理脚本. |
执行 | T1059.001: Comm和 和 Scripting Interpreter: PowerShell | 威胁行为者使用的批处理脚本通过PowerShell执行某些命令. |
持久性 | T1547.001:启动或登录自动启动执行:注册表运行键/启动文件夹 | 攻击者通过PowerShell创建一个运行密钥来执行批处理脚本, which then attempts to establish a reverse tunnel via SSH. |
国防逃税 | T1222.001:文件和目录权限修改:Windows文件和目录权限修改 | The threat actor uses cacls.exe via batch script to modify file permissions. |
国防逃税 | T1140: Deobfuscate/Decode 文件s or Information | 威胁参与者使用密码“qaz123”加密了几个邮政编码存档有效负载。. |
凭据访问 | T1056.001: Input Capture: Keylogging | 威胁参与者运行一个批处理脚本,通过命令行输入记录用户的密码. |
发现 | T1033: System Owner/User 发现 | The threat actor uses whoami.Exe来评估受影响的用户是否是管理员. |
横向运动 | T1570横向工具转移 | Impacket被用来在受损系统之间移动有效载荷. |
指挥与控制 | T1572:协议隧道 | SSH反向隧道用于为威胁参与者提供持久的远程访问. |
Rapid7客户
通过Rapid7扩展的检测规则库,insighttidr和Managed 检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署并将对与此恶意软件活动相关的行为发出警报的检测的非详尽列表:
检测 |
---|
Attacker 技术 - Renamed SSH For Windows |
持久性 - Run Key Added by Reg.exe |
Suspicious Process - Non Approved Application |
Suspicious Process - 7邮政编码 Executed From Users 导演y (*InsightIDR product only customers should evaluate 和 determine if they would like to activate this detection within the InsightIDR detection library; this detection is currently active for 耐多药/MTC customers) |
攻击者技术-用Net命令枚举域或企业管理员 |
Network 发现 - Domain Controllers via Net.exe |
Indicators of Compromise
Network Based Indicators (NBIs)
域/ IPv4地址 | 笔记 |
---|---|
upd7 [.] com | Batch script 和 remote access tool host. |
upd7a [.] com | Batch script 和 remote access tool host. |
195.123.233[.]55 | C2 server contained within batch scripts. |
38.180.142[.]249 | C2 server contained within batch scripts. |
5.161.245[.]155 | C2 server contained within batch scripts. |
20.115.96[.]90 | C2 server contained within batch scripts. |
91.90.195[.]52 | C2 server contained within batch scripts. |
195.123.233[.]42 | C2 server contained within batch scripts. |
15.235.218[.]150 | AnyDesk server used by the threat actor. |
greekpool [.] com | Primary Net支持 RAT gateway. |
rewilivak13 [.] com | Secondary Net支持 RAT gateway. |
77.246.101[.]135 | C2 address used to connect via AnyDesk. |
limitedtoday [.] com | Cobalt Strike C2 domain. |
thetrailbig [.)净 | Cobalt Strike C2 domain. |
Host-based indicators (HBIs)
文件 | SHA256 | 笔记 |
---|---|---|
s.邮政编码 | C18E7709866F8B1A271A54407973152BE1036AD3B57423101D7C3DA98664D108 | 包含威胁参与者使用的SSH配置文件的有效负载. |
id_rsa | 59 f1c5fe47c1733b84360a72e419a07315fbae895dd23c1e32f1392e67313859 | Private RSA key that is downloaded to impacted assets. |
id_rsa_client | 2 ec12f4ee375087c921be72f3bd87e6e12a2394e8e747998676754c9e3e9798e | Private RSA key that is downloaded to impacted assets. |
authorized_keys | 35456 f84bc88854f16e316290104d71a1f350e84b479eebd6fbb2f77d36bca8a | 被威胁行为者下载到受影响资产的授权密钥. |
RuntimeBroker.exe | 6 f31cf7a11189c683d8455180b4ee6a60781d2e3f3aadf3ecc86f578d480cfa9 | Renamed copy of the legitimate OpenSSH for Windows utility. |
a.邮政编码 | A47718693DC12F061692212A354AFBA8CA61590D8C25511C50CFECF73534C750 | 包含批处理脚本和合法ScreenConnect设置可执行文件的有效负载. |
a3.邮政编码 | 76年f959205d0a0c40f3200e174db6bb030a1fde39b0a190b6188d9c10a0ca07c8 | Contains a credential harvesting batch script. |